We kunnen er niet omheen, dus ook wij gaan het hier nog even over de Capital One hack hebben. Laten we wel wezen, een hack waarbij 100 miljoen accounts betrokken zijn verdient onze aandacht. Vervolgens blijven we nog even in Amerika omdat daar een man een phishing aanval uitvoerde via het e-mail account van het hooggerechtshof in Los Angeles. Deze aanval betrof dan misschien geen 100 miljoen accounts, maar hij wist toch een flinke bak schade te berokkenen. We sluiten de week af met een gevalletje ‘knullig data opslaan’ in onze mooie Domstad.

Now pa(i)ging Ms. Thompson

Capital One, een van de grootste Amerikaanse banken, is getroffen door een hack waarbij gegevens van ruim honderd miljoen (!) klanten gestolen zijn. Welk collectief of organisatie hier achter zit? Een dame genaamd Paige A. Thompson, woonachtig in Seattle en met de mooie leeftijd van 33. Nu zullen wij nooit een hack goedpraten, waar het gewoon misdaad is. Maar op het moment dat je leest dat een individu zo ontzettend veel schade kan aanrichten, dan krab je jezelf toch even achter de oren. Zo ook wij. Mevrouw Thompson maakte sinds eind maart dankbaar gebruik van een slecht ingestelde firewall om zichzelf toegang te verlenen tot gevoelige data zoals creditcardgegevens, burgerservice- en bankrekeningnummers. Alhoewel het gerucht gaat dat er wel degelijk veel meer is bemachtigd.

Capital One kwam er half juli achter dat er een kwetsbaarheid zat in de configuratie van de infrastructuur. Ze geven zichzelf een digitaal schouderklopje door te zeggen dat ze de fout “heel snel hadden opgelost”. Ja nadat 100 miljoen accounts gecompromitteerd waren. Weinig om trots op te zijn. Het onderzoek loopt nog maar er zijn geen redenen om te geloven dat Mevrouw Thompson de gegevens heeft verspreid of misbruikt. Tegelijkertijd werd echter ook duidelijk dat de hacker weinig moeite deed om haar daad geheim te houden. Zo publiceerde ze delen van de gehackte data op GitHub en stuurde ze privéberichten via Slack en Twitter waarin ze duidelijk maakte dat ze wel degelijk van plan was om de hele boel te publiceren. Het moge duidelijk zijn dat de hacker inmiddels is opgepakt door de FBI en ze niet snel op vrije voeten zal staan. Wij vragen ons echter voornamelijk af of Paige inderdaad, voor haar arrestatie, de gegevens nog heeft verkocht of heeft gepubliceerd. Dit krijgt ongetwijfeld nog een vervolg.

 

$15.000 gedeeld door vier is..?

Nieuwe week, nieuwe phishingaanval. We begrijpen dat u, de lezer, er inmiddels wel een beetje klaar mee bent. Daarom hebben we besloten om alleen nog maar de creatieve(re) aanvallen uit te lichten. En de volgende trok toch wel onze aandacht. Een Amerikaanse man kreeg het namelijk voor elkaar om twee miljoen phishingmails te verzenden via het computersysteem van het hooggerechtshof. Samen met enkele handlangers nam de man het e-mailaccount van een medewerker van de rechtbank over. Dit adres gebruikte hij vervolgens om mails naar andere medewerkers te sturen. Deze phishing e-mail leverde uiteindelijk toegang op tot honderden accounts van de medewerkers. De laatste stap was het gebruiken van deze accounts om twee miljoen phishing e-mails te verzenden om zodoende bankgegevens en persoonlijke informatie te verkrijgen. Het resultaat van deze, vooral zeer gedurfde, aanval? $15.000 hele Dollars. Dit moest hij vervolgens ook nog delen met zijn handlangers. Dus waar deze hele actie hem een paar duizend dollar opleverde, kostte het hem veel meer. Er staat hem namelijk een maximale celstraf van 350 jaar te wachten. Was it worth it? Wij denken van niet. Wilt u weten waar uw organisatie staat? Rootsec voert momenteel gratis phishing simulaties uit. U kunt zich hier aanmelden. (Kies voor de optie “gratis phishing test aanvragen”)

 

Domstad, stad van de domme Universiteit?

Dat Utrecht de mooiste stad van Nederland is, dat weet iedereen. Er staat ook een Universiteit die over het algemeen aardig scoort, maar de IT-afdeling scoorde toch even iets lager van de week. Via een e-mail die werd rondgestuurd door de Universiteit kwam namelijk naar voren dat studenten die een gastaccount hebben gebruikt om in te loggen al hun persoonlijke gegevens vrij gaven. Deze werden namelijk onversleuteld opgeslagen.Het betrof de volledige naam, de adresgegevens, de geboortedatum, het e-mailadres, het geslacht, het telefoonnummer en een persoonlijk wachtwoord. De Universiteit acht de kans zeer klein dat de baliemedewerkers in hun vrije tijd gegevens verkopen op het darkweb, dus zeggen dat er geen reden voor alarm is. Het zorgwekkende is dat dit het tweede lek deze week is bij de Universiteit Utrecht. Eerder werd bekend dat een database met gegevens van gepromoveerde studenten openbaar was. Maar, studeer jij op de uni van Utrecht of ga je daar binnenkort beginnen? Vrees dan niet, want de Universiteit kwam met dit geruststellende statement.

De universiteit verwacht voor het begin van het nieuwe studiejaar in september een vervangend, veilig systeem klaar te hebben

We hopen dat het zo is, want drie keer is in deze absoluut geen scheepsrecht. Misschien dat de Universiteit wel geholpen is met wat ondersteuning? In dat geval staat Rootsec natuurlijk klaar met raad en daad!